PamStealer: malware para macOS usa falso Maccy

PamStealer: malware para macOS usa falso Maccy

A ideia de que computadores da Apple estão completamente protegidos contra malware já não corresponde à realidade. Embora o macOS possua diversas camadas de segurança, criminosos têm desenvolvido campanhas cada vez mais sofisticadas para contornar essas proteções explorando o comportamento do próprio usuário. O caso do PamStealer, um novo malware direcionado ao macOS, mostra como ataques modernos combinam engenharia social, código nativo e técnicas de evasão para comprometer sistemas sem recorrer a vulnerabilidades complexas.

A ameaça foi analisada pelo Jamf Threat Labs, que identificou uma campanha capaz de se passar pelo popular aplicativo open source Maccy. Em vez de explorar falhas do sistema operacional, os invasores utilizam um site falso para convencer a vítima a executar um script malicioso, que instala um infostealer especializado no roubo de senhas, dados de navegadores e carteiras de criptomoedas.

Neste artigo, você entenderá como o ataque funciona, por que ele representa uma evolução dos malwares voltados ao macOS e quais medidas ajudam a reduzir o risco de infecção.

Como o PamStealer usa o app open source Maccy como isca

A campanha começa com uma técnica bastante conhecida chamada typosquatting, na qual criminosos registram um domínio muito semelhante ao de um projeto legítimo. Neste caso, o alvo foi o Maccy, um conhecido gerenciador de área de transferência para macOS distribuído como software de código aberto.

Os pesquisadores descobriram que os atacantes registraram o domínio maccyapp[.]com, visualmente parecido com o endereço oficial do projeto. Para um usuário desatento, a diferença pode passar despercebida, principalmente quando o acesso ocorre por meio de mecanismos de busca ou links compartilhados em redes sociais.

Ao visitar o site falso, a vítima acredita estar baixando o aplicativo legítimo. Porém, o arquivo disponibilizado não é o programa original, mas sim um AppleScript (.scpt) preparado para iniciar a infecção.

O golpe utiliza uma etapa adicional de engenharia social. Como o script não é executado automaticamente, a própria página orienta o usuário a abrir o arquivo no Editor de Scripts do macOS e pressionar o atalho ⌘ + R para executá-lo.

Essa estratégia transmite uma falsa sensação de legitimidade, já que a vítima acredita estar apenas concluindo um procedimento normal de instalação.

Outro detalhe importante é que o script remove o atributo com.apple.quarantine, utilizado pelo macOS para marcar arquivos obtidos pela internet. Essa alteração reduz parte das verificações de segurança normalmente realizadas pelo sistema e facilita a execução das próximas etapas do ataque.

macOS Tahoe 26.1

A anatomia técnica do ataque baseado em Rust

Após a execução inicial do AppleScript, o malware inicia uma segunda fase muito mais sofisticada. Nela, entram em ação componentes escritos em Rust, linguagem que vem sendo utilizada com frequência crescente tanto por desenvolvedores quanto por operadores de malware devido ao alto desempenho e à dificuldade adicional imposta durante análises forenses.

Os pesquisadores observaram que praticamente toda a lógica responsável pela coleta de informações e comunicação com os servidores dos criminosos foi implementada nessa linguagem.

Exclusividade para Apple Silicon e evasão geográfica

Uma das descobertas mais interessantes do Jamf Threat Labs é que o malware foi desenvolvido especificamente para computadores equipados com Apple Silicon.

Durante sua execução, o dropper verifica a arquitetura do equipamento antes de descriptografar o payload principal. Caso o computador utilize processadores incompatíveis, a infecção simplesmente não prossegue.

Essa limitação indica que os operadores decidiram concentrar seus esforços nos Macs mais recentes, equipados com chips das famílias M1, M2, M3 e versões posteriores.

Além da verificação de hardware, o malware também analisa informações de localização do sistema.

Caso identifique configurações associadas a determinados países do Leste Europeu, encerra sua execução sem instalar o restante da carga maliciosa. Esse comportamento é frequentemente observado em campanhas conduzidas por grupos criminosos que evitam atuar em regiões específicas.

Essa filtragem também reduz a exposição da operação e dificulta análises realizadas por pesquisadores de segurança.

Validação de senha via PAM e roubo de dados

O aspecto mais inovador da campanha envolve a utilização dos Módulos de Autenticação Conectáveis (PAM), infraestrutura utilizada pelo próprio macOS para validar credenciais de usuários.

Em muitos ataques tradicionais, criminosos exibem uma janela falsa solicitando a senha do sistema e enviam qualquer informação digitada para seus servidores. O PamStealer adota uma abordagem mais sofisticada.

Quando a vítima informa sua senha, o malware utiliza as bibliotecas de autenticação do próprio sistema para verificar localmente se aquela credencial realmente pertence ao usuário.

Somente após confirmar que a senha está correta é que ela é enviada ao servidor controlado pelos criminosos.

Essa técnica reduz drasticamente a quantidade de credenciais inválidas coletadas, aumentando a eficiência da campanha e permitindo que os invasores utilizem imediatamente as senhas roubadas.

Além das credenciais do macOS, o malware procura diversos outros tipos de informações armazenadas no computador.

Entre os principais alvos estão:

  • Carteiras de criptomoedas;
  • Dados armazenados por navegadores;
  • Cookies de autenticação;
  • Credenciais salvas;
  • Informações relacionadas a aplicações financeiras;
  • Arquivos de interesse dos operadores.

Os dados coletados são enviados para a infraestrutura remota identificada pelos pesquisadores no domínio avenger-sync[.]live, permitindo que os criminosos consolidem todas as informações obtidas durante a infecção.

O golpe final e o alerta do desenvolvedor oficial

Depois que o malware conclui sua instalação, a campanha utiliza mais uma camada de engenharia social para dificultar a descoberta da ameaça.

O usuário recebe uma mensagem semelhante aos alertas emitidos pelo Gatekeeper, informando que o Maccy estaria danificado e deveria ser removido do computador.

Na prática, o aplicativo legítimo nunca foi instalado.

Enquanto a vítima acredita estar eliminando um software com defeito, o verdadeiro malware permanece ativo em segundo plano coletando informações confidenciais.

Após a divulgação da campanha, Alex Rodionov, desenvolvedor responsável pelo Maccy, publicou um alerta orientando os usuários a baixarem o programa exclusivamente pelo domínio oficial maccy[.]app e por seus canais oficiais de distribuição.

O aviso reforça que qualquer endereço semelhante deve ser tratado com desconfiança, principalmente quando solicita procedimentos incomuns durante a instalação.

Conclusão e como se proteger

O PamStealer demonstra que os ataques contra usuários de macOS continuam evoluindo. Em vez de explorar vulnerabilidades complexas do sistema operacional, os criminosos investem em campanhas altamente convincentes, capazes de abusar de recursos legítimos do próprio macOS para validar senhas, instalar componentes maliciosos e permanecer ocultos por mais tempo.

A combinação entre engenharia social, componentes desenvolvidos em Rust, verificação da arquitetura Apple Silicon e autenticação por meio dos Módulos de Autenticação Conectáveis (PAM) mostra que os infostealers voltados ao ecossistema da Apple estão se tornando cada vez mais especializados.

Para reduzir os riscos, é fundamental baixar aplicativos apenas de seus sites oficiais, conferir cuidadosamente o domínio acessado, manter o macOS atualizado e desconfiar de qualquer instalação que exija procedimentos incomuns, como abrir scripts manualmente ou executar comandos fora do fluxo normal do sistema.

Também vale a pena utilizar soluções de segurança capazes de identificar comportamentos suspeitos, especialmente em ambientes corporativos, onde o comprometimento de uma única estação pode colocar credenciais e informações sensíveis de toda a organização em risco.